V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (tzv. GDPR) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním jejich osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“)
1. Úvod
2. Naše zásady
3. Působnost
4. Co jsou „osobní údaje“
5. Standard společnosti STYROGROUP pro ochranu soukromí
5.1 Osobní údaje shromažďujeme pouze na právním základě
5.2 Osobní údaje zpracováváme přiměřeně a pouze v takovém rozsahu a jen po nezbytně dlouhou dobu
5.3 Osobní údaje zpracováváme transparentně a v přiměřené lhůtě od jejich shromáždění poskytujeme příslušné informace
5.4 Pokud je to možné, nabízíme subjektům údajů možnost si vybrat
5.5 Činíme kroky k zajištění správnosti námi zpracovávaných osobních dat
5.6 Chráníme osobní údaje před neoprávněným a nezákonným zpracováním a poškozením
5.7 Spolupracujeme se subjekty údajů, které uplatňují svá jednotlivá práva
5.8 Při zpracování určitých kategorií osobních údajů dodržujeme další omezení
5.9 V závažných případech se nespoléháme pouze na automatizované rozhodování
5.10 Nebudeme přenášet osobní údaje v rámci STYROGROUP nebo třetím osobám v jiných zemích bez toho aniž by byla zavedena bezpečnostní opatření nebo pro to existovalo jiné dostatečné ospravedlnění
6. Role a odpovědnosti
7. Přehled činností k ochraně údajů a dokumentace o dodržování požadavků
8. Posouzení dopadů na ochranu soukromí
9. Hlášení narušení bezpečnosti údajů
10. Platnost
1. ÚVOD
Společnost STYROGROUP a všechny propojené společnosti STYROGROUP i jednotlivě nebo společně jen STYROGROUP) se zavazují chránit osobní údaje, které shromažďují a uchovávají v souladu s platnými zákony a předpisy. To zahrnuje i právo osob být informovány a činit rozhodnutí ohledně shromažďování, využívání, sdělování, uchovávání, změn, výmazů a jiných úkonů (zpracování) ohledně jakýchkoliv informací o identifikované nebo identifikovatelné osobě („osobní údaje“).
Tato Vnitřní Směrnice stanoví standard, který musí, pokud není stanoveno jinak dodržovat všichni zaměstnanci a dodavatelé STYROGROUP při zpracování osobních údajů pro STYROGROUP nebo v STYROGROUP (Vnitřní Směrnice).
2. NAŠE ZÁSADY
3. PŮSOBNOST
Území Evropské Unie na základě s Nařízení Evropského parlamentu a Rady (EU) 2016/679 (tzv. GDPR) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se
zpracováním jejich osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“)
4. CO JSOU „OSOBNÍ ÚDAJE“
Pro účely této politiky, osobní údaje znamenají jakékoliv informace týkající se identifikované nebo identifikovatelné fyzické osoby (subjekt údajů), jako např. jméno, pohlaví, informace o zdraví a finanční situaci, a to bez ohledu, zda tyto informace souvisejí s podnikáním, jsou soukromé, veřejné nebo důvěrné povahy.
U STYROGROUP zahrnují osobní údaje zejména informace o jejích zaměstnancích (např. osobní informace jako jsou např. jméno, pohlaví a informace o sociálním pojištění, pracovní pozici, vzdělání, pracovní době a platu atd.) a o spotřebitelích (např. jméno, kontaktní údaje, dodávané výrobky a služby, údaje o kreditní kartě, komunikace se spotřebiteli a informace předávané se spotřebiteli atd.).
Osoba je však považována za identifikovatelnou, pouze pokud osoby, které mají nebo mohou získat přístup k předmětným údajům, (1) mají nebo mohou získat prostředky pro zjištění identity subjektu údajů a (2) mají zájem nebo mohou projevit zájem je v souladu s tím využívat. Vezmeme také v úvahu přiměřeně předpokládanou životnost a okolnosti předmětných údajů.
Údaje, které neumožňují re identifikaci osoby („anonymizované údaje“, např. řádně agregovaná statistická data) nepředstavují osobní údaje a nepodléhají této skupinové politice ochrany dat.
Údaje o STYROGROUP nebo jiných společnostech nepředstavují osobní údaje stanovenou touto politikou, pokud ovšem neobsahují přímé nebo nepřímé odkazy na identifikovaného nebo identifikovatelného zaměstnance nebo osobu.
U zaměstnanců STYROGROUP zpracováváme tyto osobní údaje:
Vzhledem k tomu, že STYROGROUP provádí ve vztahu k zaměstnancům pouze zákonné zpracování osobních údajů a zpracování není prováděno automatizovaně, subjekt údajů nemá právo na přenositelnost údajů na jiného správce podle čl. 20 Nařízení.
5. STANDARD SPOLEČNOSTI STYROGROUP PRO OCHRANU SOUKROMÍ
Zaměstnanci, kteří pracují na plný nebo částečný úvazek pro STYROGROUP a také třetí osoby (např. poskytovatel emailových služeb, poskytovatel služeb v oblasti vedení mezd
a cestovních výdajů nebo dopravní společnosti), od nichž je požadováno nebo které mohou využívat a spravovat osobní údaje STYROGROUP (pracovníci STYROGROUP) se musí při zpracování osobních údajů řídit těmito zásadami.
5.1. Osobní údaje shromažďujeme pouze na právním základě
Osobní data budeme zpracovávat pouze v souladu se zákonem a pouze pokud:
Subjekt údajů udělil svůj svobodný, výslovný, informovaný a jednoznačný souhlas se zpracováním osobních údajů pro dané účely (viz také odst. 5.3) nebo
Zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou subjekt údajů je nebo pro účely přijetí opatření na žádost subjektu údajů před uzavřením smlouvy nebo
Zpracování je nezbytné pro vyhovění zákonů,
Zpracování je nezbytné za účelem ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (např. sdělení údajů v případě nehody nebo potřeby jiné naléhavé zdravotní péče) nebo
Zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu úřední pravomoci svěřené příslušné místní společnosti STYROGROUP nebo
Zpracování je nezbytné pro účely oprávněných zájmů sledovaných společností STYROGROUP nebo třetí osobou (což může zahrnovat zájmy zajistit ochranu a bezpečnost nebo provádění výzkumu a vývoje), pokud ovšem subjekt údajů nemá převažující zájem ochrany soukromí a údajů, na jehož základě takové zpracování neprovedeme; účel je legitimní, pokud existuje obchodní nebo zákonná potřeba zpracovat osobní údaje nebo užitek z takového zpracování a pokud se zpracování jeví důvodné a rozumné nebo
Zpracování není pro účel, pro který byly osobní údaje původně shromážděny, ale tento jiný účel je s ním slučitelný, například z toho důvodu, že osobní údaje byly pseudonymizovány nebo funguje jiná ochrana, která dostatečně chrání soukromí a práva na ochranu dat subjektů údajů.
5.2. Osobní údaje zpracováváme přiměřeně a pouze v takovém rozsahu a po tak dlouhou dobu, jak je nezbytné Osobní data budeme zpracovávat přiměřeně a veškeré zpracování budeme provádět pouze v nezbytné míře.
Budeme zejména shromažďovat, uchovávat a jinak zpracovávat osobní údaje v rozsahu, který je přiměřený, příslušný a omezený na nezbytnou míru ve vztahu k účelům, pro které tyto osobní údaje zpracováváme nebo můžeme zpracovávat, a osobní údaje, které již nepotřebujeme a které není potřeba uchovávat (např. pro účely vyhovění
uchování údajů požadovaného ze zákona nebo jiným povinnostem ohledně uchování záznamů), bezpečně zlikvidujeme.
5.3. Osobní údaje zpracováváme transparentně a v přiměřené lhůtě od jejich shromáždění poskytujeme příslušné informace Osobní data budeme zpracovávat způsobem, které je transparentní pro subjekt údajů, včetně účelu zpracování. V okamžiku shromažďování osobních údajů subjektu údajů řádně sdělíme příslušné informace o:
5.4. Pokud je to možné, nabízíme subjektům údajů možnost si vybrat
Umožníme subjektům údajů si vybrat, zda můžeme jejich osobní údaje zpracovat v případě, že takové zpracování není důvodně požadováno na pro legitimní obchodní účely příslušné místní společnosti STYROGROUP, přičemž budeme dodržovat požadavky platného práva nebo jiné požadavky
Budeme tak činit také při získávání souhlasu nebo spoléhání se na souhlas se zpracováním osobních údajů. Zejména, pokud obdržíme souhlas pro různé účely zpracování osobních údajů, které spolu nesouvisí, budeme postupovat samostatně (žádné „balíčkování“ souhlasů bez ospravedlnění, např. „poskytování kontaktních údajů pro účast v soutěži“ je jeden účel, zatímco „příjem dalších marketingových propagačních e-mailů“ je jiný účel, a budeme vyžadovat další souhlas). Umožníme subjektům údajů také kdykoliv zrušit jejich souhlas s účinností do budoucna, přičemž je budeme informovat o této možnosti a hlavních důsledcích zrušení souhlasu.
Pokud nabídneme volbu, zajistíme, aby nastavená volba představovala zpracování, které co nejméně narušuje soukromí subjektu údajů.
V případě přímého elektronického marketingu poskytneme zdarma (kromě nákladů na telefonní hovor nebo poštovné) způsob zrušení přijímání dalších marketingových materiálů toho-to druhu (např. možnost „odhlášení se“).
5.5. Činíme kroky k zajištění správnosti námi zpracovávaných osobních dat
Při zpracování osobních dat vždy činíme přiměřená opatření k zajištění správnosti těchto osobních údajů a, je-li to nezbytné, jejich aktuálnosti vzhledem k jejich relevantnosti a účelům, pro které je zpracováváme. To také zahrnuje činění nezbytných opatření k zajištění toho, aby osob-ní údaje, které nejsou správné, byly neprodleně vymazány nebo opraveny a také zajištění toho, aby, pokud existuje několik kopií stejných osobních údajů (např. v různých
systémech nebo u různých společností), byly všechny tyto kopie synchronizovány tam, kde je to vhodné.
5.6. Chráníme osobní údaje před neoprávněným a nezákonným zpracováním a poškozením
STYROGROUP má přiměřená technická a organizační opatření za účelem ochrany osobních údajů proti neoprávněnému a nezákonnému zpracování a proti nezákonnému nebo náhodné-mu zničení, ztrátě nebo poškození, přičemž účinnost a dodržování těchto opatření budou pravidelně prověřovány, pokud je to důvodné.
Osobní údaje budeme v přiměřeně možné a vhodné míře anonymizovat (tj. šifrovat nebo jinak nahrazovat identifikující informace kódem, abychom zabránili identifikaci subjektu údajů).
Nebudeme se při zpracování údajů pokoušet identifikovat nebo reidentifikovat osoby a nebudeme činit kroky umožňující takovou identifikaci nebo reidentifikaci, pokud ovšem nebudeme mít legitimní obchodní důvod nebo zákonnou potřebu tak činit.
Své systémy a postupy pro zpracování osobních údajů budeme navrhovat tak, aby byl dodržen Vnitřní Směrnice a Nařízení „GDPR“.
5.7. Spolupracujeme se subjekty údajů, které uplatňují svá jednotlivá práva
Obecně platí, že osoby od nás mohou požadovat kopii svých osobních údajů, které vedeme v našich záznamech (“právo na přístup”). Po řádném ověření totožnosti osoby požadující přístup jí mohou být poskytnuty informace o:
poskytneme tyto údaje subjektu údajů na jeho žádost ve strukturované, běžně používané a strojově čitelné formě, nebo pokud si tak subjekt údajů přeje a dohodne se tak, přímo konkrétní třetí osobě, která se stane novým správcem údajů („právo na přenositelnost údajů“).
Kromě toho nás osoby mohou kontaktovat s požadavkem o opravu jejich osobních údajů zpracovávaných STYROGROUP a také mohou vznést legitimní námitky proti zpracování jejich osobních údajů, včetně požadavků na vymazání údajů a omezení jejich zpracování.
Pokud je u osobních údajů sdělených třetí straně požadována jejich změna, vymazání nebo omezení pro třetí stranu, budeme tuto třetí stranu o tomto požadavku informovat. Dále na žádost subjektu údajů sdělíme subjektu údajů totožnost těchto třetích stran, pokud to ovšem není nemožné nebo to představuje neúměrné úsilí.
Před tím, než vyhovíme žádosti subjektu údajů o přístup, opravu, omezení, vymazání a přenositelnost údajů, prověříme, zda můžeme na základě platného práva odmítnout, omezit nebo pozdržet tuto žádost, a to zejména pokud je tato žádost podezřelá, nepřiměřená nebo zjevně nepodložená. Pokud taková žádost porušuje převažující oprávněné zájmy na ochranu soukromí a o utajení třetích stran, včetně pracovníků STYROGROUP, takovému požadavku zpravidla nevyhovíme. Pokud koordinátor pro ochranu údajů místní společnost STYROGROUP, který žádost obdržela, nemůže výše uvedené nesporně stanovit nebo tak nelze učinit na základě specifické politiky ochrany soukromí, o žádosti rozhodne vedení místní společnosti STYROGROUP.
5.8. Při zpracování určitých kategorií osobních údajů dodržujeme další omezení
Přísnější pravidla aplikujeme při zpracování osobních údajů týkajících se (i) rasového nebo etnického původu, (ii) politického názoru, (iii) náboženského nebo filozofického přesvědčení,
členství v odborové organizaci, (v) zdraví, zdravotních dat nebo sexuálního života či sexuální orientace, (vi) genetických údajů a (vii) biometrických údajů, pokud jsou zpracovávány pro potřeby jednoznačné identifikace osoby (citlivé osobní údaje), odsouzení za trestní čin nebo přestupek (údaje o trestných činech) a o subjektech údajů mladších 16 let (údaje o nezletilých).
Zpracování citlivých osobních údajů je možné, pouze pokud a do té míry, že subjekt údajů dal výslovný souhlas k jejich zpracování pro jeden či několik konkrétních účelů a/nebo zpracování je výslovně povoleno a/nebo pokud zpracování:
Zpracování citlivých osobních údajů podléhá dodatečným bezpečnostním opatřením, která v jednotlivých případech stanoví DPO.
Budeme zpracovávat údaje o nezletilých se souhlasem nebo pověřením držitele rodičovské odpovědnosti nebo tak, jak je to jinak povoleno nebo požadováno platným zákonným předpisem. Při komunikaci s dětmi zajistíme, že používaný jazyk bude odpovídat jejich věku.
Údaje o trestných činech budeme zpracovávat pouze, pokud je to povoleno nebo vyžadováno platným zákonem.
5.9. V závažných případech se nespoléháme pouze na automatizované rozhodování
Osoby nebudeme podrobovat rozhodnutím učiněným pouze na základě automatizovaných procesů (včetně profilování), pokud tato rozhodnutí mohou mít právní nebo negativní dopad na subjekt údajů, pokud ovšem takové rozhodnutí (1) není nezbytné k uzavření nebo plnění smlouvy, (2) není schváleno platným národním, regionálním nebo místním zákonem, nebo (3) pokud subjekt údajů s takovým rozhodnutím výslovně souhlasí.
Pokud se budeme spoléhat na automatizovaná rozhodnutí, zavedeme bezpečnostní opatření na ochranu oprávněných zájmů subjektu údajů, včetně toho, že subjektu údajů vždy poskytneme možnost vyjádřit jeho nebo její názor a napadnout toto rozhodnutí vůči člověku.
5.10. Nebudeme přenášet osobní údaje v rámci STYROGROUP nebo třetím osobám bez toho aniž by byla zavedena bezpečnostní opatření nebo pro to existovalo jiné dostatečné ospravedlnění
Před přenosem osobních údajů jiným místním společnostem STYROGROUP nebo třetím osobám (např. externím poskytovatelům služeb) v jiných zemích (včetně poskytování osobních údajů pomocí vzdáleného přístupu) zajistíme, že (i) příjemce bude podléhat dohodě o přenosu dat v rámci skupiny společností STYROGROUP (v případě přenosu mezi místními společnostmi STYROGROUP), nebo (ii) jsou zavedena příslušná bezpečnostní opatření (jako např. standardní doložky o ochraně osobních údajů přijaté
Evropskou komisí), která dostatečně chrání osobní údaje v zahraničí nebo (iii) v zemi vývozce platí jedna z výjimek stanovených platným právem (např. výslovný souhlas subjektu údajů, potřeba přenosu osobních údajů pro účely smlouvy nebo pro stanovení, uplatnění nebo obhajobu zákonných nároků).
Pokud pověříme zpracováním osobních údajů třetí stranou nebo zpracování zadáme externí třetí straně, zajistíme navíc smluvně, že příjemce bude tyto osobní údaje zpracovávat pouze pro naše účely a pouze dle našich pokynů a že tato třetí osoba zavede a bude udržovat přiměřené technické a organizační opatření na ochranu osobních údajů proti neoprávněnému zpracování a náhodné ztrátě, jak je dále upraveno v dohodě o přenosu údajů mezi v rámci skupiny společností STYROGROUP.
Pokud místní společnost STYROGROUP zajistí služby pro jinou místní společnost STYROGROUP, které zahrnují i zpracování osobních údajů třetí stranou, smluvně zajistíme, že bude dodržována Vnitřní Směrnice a příslušné specifické politiky ochrany soukromí.
Pokud jedna místní společnost STYROGROUP zpracovává osobní údaje jiné místní společnosti STYROGROUP, bez ohledu na to, zda pro své vlastní účely nebo pro tuto místní společnost STYROGROUP, musí dodržovat specifické politiky ochrany soukromí uzákoněné druhou místní společností STYROGROUP ohledně zpracování takových osobních údajů.
6. ROLE A ODPOVĚDNOSTI
Statutární orgán společnosti STYROGROUP nese hlavní odpovědnost za zavedení, ochranu a revidování této Vnitřní Směrnice a souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (tzv. GDPR) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním jejich osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“) zde uvedeného a formulářů dohody o přenosu dat v rámci skupiny společností STYROGROUP, za úpravy a doplnění této skupinové politiky ochrany dat a také specifických politik ochrany soukromí, které platí pro více než jednu místní společnost STYROGROUP, a za vydávání formulářů dohody o pře-nosu dat v rámci skupiny společností STYROGROUP.
DPO společností STYROGROUP), jehož povinnosti na základě této skupinové politiky nelze delegovat, je odpovědný za dohlížení na a monitorování zavádění, dodržování a vývoj této Vnitřní Směrnice. DPO STYROGROUP je oprávněn revidovat a kontrolovat každé zpracování osobních údajů v rámci STYROGROUP. DPO STYROGROUP může také radit majitelům podniku ohledně ochrany soukromí, specifických politik ochrany soukromí a platných zákonů o ochraně údajů a jejich dodržování a v jiných souvisejících záležitostech.
Společnost STYROGROUP ustanoví DPO (Data protection officer). Pověřenec pro ochranu údajů, který je povinen a oprávněn:
7. PŘEHLED ČINNOSTÍ K OCHRANĚ ÚDAJŮ A DOKUMENTACE O DODRŽOVÁNÍ POŽADAVKŮ
Od STYROGROUP je požadováno, aby dokumentovala své zpracování osobních údajů a dodržování platných zákonů o ochraně údajů („zásada odpovědnosti“).
Patří sem vedení přehledu o všech činnostech zpracování v rámci STYROGROUP, což znamená jakékoliv zpracování osobních údajů, automaticky či ne, jako např. shromažďování, zaznamenání, organizování, strukturování, ukládání, přizpůsobení nebo změny, vyhledávání, konzultace, využívání nebo sdělování přenosem, šířením nebo jinak, uspořádání nebo sloučení, omezení, vymazání nebo zničení. Každý místní koordinátor pro ochranu údajů je povinen vést záznamy o všech činnostech zpracování, které řídí. DPO vede dokumentaci o:
8. POSOUZENÍ DOPADŮ NA OCHRANU SOUKROMÍ
Pracovníci STYROGROUP jsou povinni nahlásit DPO každou novou nebo podstatně změněnou stálou IT aplikaci, obchodní proces, outrsourcing, spolupráci se třetí stranou nebo datový soubor týkající se zpracování strukturovaných osobních údajů.
Kromě toho jsou pracovníci STYROGROUP povinni konzultovat s DPO, před zavedením nebo významnou změnou takové IT aplikace, obchodního procesu, outsourcingu, spolupráce s třetí stranou nebo datového souboru za účelem posouzení rizika nevyhovění dohodě o přenosu údajů v rámci skupiny STYROGROUP, Směrnici a platným zákonům o ochraně údajů a soukromí. Taková konzultace není vyžadována, pokud předpokládané zpracování osobních údajů vyhovuje požadavkům specifické politiky ochrany soukromí nebo jiných platných předpisů, pokynů nebo posouzení (zabývající se problematikou ochrany údajů a soukromí), které poskytne nebo schválí buď místní koordinátor pro ochranu údajů nebo případně odpovědná osoba skupiny STYROGROUP.
Konečné rozhodnutí ohledně a odpovědnost za zavedení nebo změny takové aplikace, obchodního procesu nebo datového souboru a za opatření k řešení identifikovaných rizik má vedením místní společnosti STYROGROUP a u projektů nad rámec příslušné místní společnosti STYROGROUP, odpovědná osoba skupiny STYROGROUP.
9. HLÁŠENÍ NARUŠENÍ BEZPEČNOSTI ÚDAJŮ
Každý pracovník STYROGROUP a dodavatel je povinen dávat pozor na potenciální nebo zjištěné porušení této Vnitřní směrnice a okamžitě je nahlásit koordinátorovi pro ochranu údajů STYROGROUP, u které došlo k tomuto porušení nebo u které subjekty údajů pracují nebo se kterou obchodují. To je důležité k tomu, aby mohla STYROGROUP řádně jednat a bránit se proti narušení bezpečnosti údajů a pro splnění zákonného závazku ohlašovat tato porušení.
Aniž jsou dotčeny jakékoliv jiné prostředky právní, správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů bylo porušeno Nařízení. Subjekt údajů má právo na to, aby STYROGROUP bez zbytečného odkladu opravilo nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím svého dodatečného prohlášení.
10. PLATNOST
Používání této Vnitřní Směrnice se stane pro skupinu společností STYROGROUP závazná počínaje 25. 5. 2018
David Urban
předseda představenstva Styrogroup
více na e-mailu:dpo@styrogroup.cz